総務省「ネットのパスワードを小まめに変更は逆に危険」との呼びかけは正しいのか？

「Getty Images」より

　ショッピング、オークション、フリーマーケット……。インターネット上にはさまざまなサービスを提供するサイトがすごい勢いで増えている。どれもあると便利なサービスだが、新規登録する際に、新たなユーザーIDとパスワードを設定するのが唯一のネック。

　しかも、アルファベットの大文字、小文字、数字と記号を使い、8文字以上20文字以内などと要求される。律儀にパスワードを毎回ひねり出している人もいる一方、なかにはほかのサービスで使用しているパスワードをそのまま使い回したり、末尾に数字を付け加える程度で済ませているユーザーも多いはずだ。さらに、サイトによっては「定期的なパスワードの変更」を要求されるなど、ユーザーにとってパスワード管理は頭の痛い問題になっていた。

　しかし3月末、総務省が方針を変えたが話題になった。総務省の「国民のための情報セキュリティサイト」内の「安全なパスワード管理」の項目に「定期的な変更は不要」との文言が2017年11月に追加されていたのだ。以下がその文言だ。

「パスワードを複数のサービスで使い回さない（定期的な変更は不要）。なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しするようになることの方が問題となります。定期的に変更するよりも、機器やサービスのあいだで使い回しのない、固有のパスワードを設定することが求められます」